IMPLEMENTAÇÃO 802.1X
Transcrição
IMPLEMENTAÇÃO 802.1X
FACULDADE DE TECNOLOGIA SENAC GOIÁS Segurança da Informação IMPLEMENTAÇÃO 802.1X Rodrigo da Silva Sousa Roberto José Duarte Tiago Felício Castro da Silveira Goiânia 2014 PROJETO INTEGRADOR – QUINTO MÓDULO Trabalho final do 5º período do curso de Tecnologia da segurança a informaçãoFaculdade de tecnologia SENAC Goiânia. Este documento tem como objetivo mostrar o funcionamento do padrão IEEE 802.X logo demonstraremos um cenário aplicando o mesmo. Avaliador: Marissol Martins Barros Goiânia 2014 SUMÁRIO 1 Introdução ................................................................................................................ 3 1.2 O que é 802.x? ...................................................................................................... 3 1.3 Visão geral......................................................................................................... 4 1.4 Componentes ........................................................................................................ 5 1.5 Segurança ............................................................................................................. 5 2 Implementação ......................................................................................................... 6 2.1 Free Radius ....................................................................................................... 6 3 Cenário ..................................................................................................................... 7 1. INTRODUÇÃO 1.2 O QUE É 802.X? IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Access points sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP). 1.3 VISÃO GERAL Um nó wireless precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Access Point sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente) acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido da rede. Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O autenticador envia a identidade de autenticação EAP-request' ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego nãoEAP. 1.4 COMPONENTES A autenticação IEEE 802.1X para redes sem fio tem três componentes principais: O autenticador (o ponto de acesso) O requerente (o software cliente) O servidor de autenticação (RADIUS) 1.5 SEGURANÇA Segurança da autenticação 802.1X inicia uma solicitação de autorização do cliente sem fio para o ponto de acesso, que autentica o cliente junto a um Extensible Authentication Protocol (EAP) servidor RADIUS compatível. O servidor RADIUS pode autenticar tanto o usuário (exemplos são usuário senha ou certificado do usuário) como o sistema (normalmente por endereço MAC ou certificado de máquina). Teoricamente, o cliente sem fio não tem permissão para entrar na rede até que a transação seja concluída. Há vários algoritmos de autenticação usados para o 802.1X. Alguns exemplos são: o EAP-TLS, EAP-TTLS e Protected EAP (PEAP). Todos esses são métodos para o cliente sem fio se identificar para o servidor RADIUS. Com a autenticação RADIUS, as identidades dos usuários são comparadas com bancos de dados. RADIUS é um conjunto de padrões que trata autenticação, autorização e contabilidade (AAA). RADIUS inclui um processo proxy para validar clientes em um ambiente de vários servidores. O padrão IEEE 802.1X se destina ao controle e autenticação para acesso sem fio 802.11 e redes com as redes baseadas em porta Ethernet. O controle de acesso a redes baseadas em portas é similar à infra-estrutura de redes LAN chaveadas que autentica dispositivos conectados a uma porta da LAN e impede o acesso a essa porta se o processo de autenticação falhar. 2 IMPLEMENTAÇÃO 2.1 FREE RADIUS RADIUS significa Remote Authentication Dial In User Service. Ele é um protocolo AAA para aplicações para acesso à rede de computadores e mobilidade através de rede IP, e é definido pela RFC 2865. O FreeRADIUS é um software livre, licenciado sob a GPL e livre de custos, e é a base de muitos servidores RADIUS comerciais no mundo. Numa rede que usa RADIUS, há funções distintas para os equipamentos: Cliente: é o host que deseja usufruir de um recurso da rede, como por exemplo, uma estação que deseja se associar a um Access Point. NAS (Network Autentication Server): é o host que recebe uma solicitação do cliente (o Access Point por exemplo) e autentica esse pedido no servidor RADIUS. Servidor RADIUS: é o host que validará o pedido do NAS. A resposta do pedido de autenticação pode ser positiva (Access-Accept) acompanhada da tabela de parâmetros de resposta ou negativa (Access-Reject) sem nenhum parâmetro. Nas respostas positivas (Access-Accept) os parâmetros de resposta são usados para orientar o NAS de como tratar o cliente. Numa rede wireless, nos parâmetros podem constar por exemplo, o tempo máximo de conexão permitida, ou a chave de criptografia que deverá ser usada no canal de comunicação entre o cliente e o NAS. O serviço RADIUS é amplamente usado em provedores de acesso a internet. No Brasil por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credênciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for positiva, o cliente receberá um IP público e poderá navegar, caso a resposta seja negativa, o acesso é negado. 3 CENÁRIO PROPOSTO O projeto foi criado usando um ambiente de rede wireless com intuito de aumentar a segurança desse tipo de rede. Foi utilizado um access point Cisco WRT64G2 V1 utilizando WPA2 Enterprise autenticando em um Servidor com o Freeradius. O servidor e um CentOS 6.5 com o freeradius com autenticação peap dessa forma não necessitando de chaves permitindo a autenticação facilitada em todos os tipos de dispositivos.
Documentos relacionados
Roteador hotspot para acesso à rede autenticado
Usando Shibboleth Service Provider, o Captive Portal de Zeroshell permite a autenticação do usuário contra um provedor de identidade SAML 2. Isto é frequentemente usado nas federações em que cada m...
Leia mais- Prof. Edilberto Silva
suplicante para responder ao autenticador, podendo estar ou não autorizado a essa Artigo apresentado na Pós-Graduação em Segurança da Informação da FACSENAC-DF • Julho/2012
Leia mais